intTypePromotion=1
zunia.vn Tuyển sinh 2024 dành cho Gen-Z zunia.vn zunia.vn
ADSENSE
 » 
 » 

Giáo trình Quản trị mạng nâng cao: Phần 2 - Trường ĐH Công nghiệp Quảng Ninh

Chia sẻ: Dương Hàn Thiên Băng | Ngày: | Loại File: PDF | Số trang:56

Thêm vào BST
Báo xấu
20
lượt xem 8
download
 
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Phần 2 của giáo trình "Quản trị mạng nâng cao" tiếp tục cung cấp cho học viên những nội dung về: công nghệ VPN; hệ thống Mail Server; giám sát hệ thống mạng; giao thức quản lý mạng đơn giản – SNMP và một số phần mềm giám sát mạng;... Mời các bạn cùng tham khảo!

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Giáo trình Quản trị mạng nâng cao: Phần 2 - Trường ĐH Công nghiệp Quảng Ninh

  1. CHƯƠNG 3: CÔNG NGHỆ VPN MỤC TIÊU Học xong chương này sinh viên có thể: o Trình bày được khái niệm, lợi ích của công nghệ VPN o Trình bày được nguyên lý hoạt động của VPN o Triển khai, cài đặt, cấu hình được công nghệ VPN cho doanh nghiệp o Tư vấn cho khách hàng triển khai công nghệ VPN. o Rèn luyện khả năng tư duy logic. 3.1. Tổng quan về VPN 3.1.1 Khái niệm Mạng riêng ảo hay còn được gọi với từ viết tắt VPN, đây không phải là một khái niệm mới trong công nghệ mạng. VPN có thể được định nghĩa như là một dịch vụ mạng ảo được triển khai trên cơ sở hạ tầng của hệ thống mạng công cộng với mục đích tiết kiệm chi phí cho các kết nối điểm - điểm. Hai đặc điểm quan trọng của công nghệ VPN là “riêng” và “ảo” tương ứng với hai thuật ngữ tiếng anh (Virtual and Private). VPN có thể xuất hiện tại bất cứ lớp nào trong mô hình OSI, VPN là sự cải tiến cơ sở hạ tầng mạng WAN, làm thay đổi và làm tăng tính chất của mạng cục bộ cho mạng WAN. 55
  2. Hình 3.1: Mô hình VPN 3.1.2 Lợi ích của VPN - VPN làm giảm chi phí thường xuyên: VPN cho phép tiết kiệm chi phí thuê đường truyền và giảm chi phí phát sinh cho nhân viên ở xa nhờ vào việc họ truy cập vào hệ thống mạng nội bộ thông qua các điểm cung cấp dịch vụ ở địa phương POP (Point of Presence), hạn chế thuê đường truy cập của nhà cung cấp đến giá thành cho việc kết nối Lan – to – Lan giảm đi đáng kể so với việc thuê đường Leased - line. - Giảm chi phí quản lý và hỗ trợ: Với việc sử dụng dịch vụ của nhà cung cấp, chúng ta chỉ phải quản lý các kết nối đầu cuối tại các chi nhánh mạng, đồng thời tận dụng cơ sở hạ tầng của mạng Internet và đội ngũ kỹ thuật của nhà cung cấp dịch vụ. - VPN đảm bảo an toàn thông tin, tính toàn vẹn và xác thực: Dữ liệu truyền trên mạng được mã hóa bằng các thuật toán và được truyền trong các đường hầm (Tunnel) nên thông tin có độ an toàn cao. - VPN dễ dàng kết nối các chi nhánh thành mạng nội bộ: VPN có thể dễ dàng kết nối hệ thống mạng giữa các chi nhánh của một công ty và văn phòng trung tâm thành một mạng LAN với chi phí thấp. - VPN hỗ trợ các giao thức mạng thông dụng nhất hiện nay như TCP/IP: thông tin được gửi đi trên VPN đã được mã hóa do đó các địa chỉ trên mạng riêng được che giấu và chỉ sử dụng các địa chỉ bên ngoài Internet. 3.1.3 Chức năng của VPN VPN cung cấp 3 chức năng chính: - Sự tin cậy (Confidentiality) : Người gửi có thể mã hóa các gói dữ liệu trước khi truyền chúng ngang qua mạng nên không ai có thể truy nhập thông tin mà không được phép. - Tính toàn vẹn dữ liệu (Data Integrity) : Người nhận có thể kiểm tra rằng dữ liệu đã được truyền qua mạng internet mà không có sự thay đổi nào. - Xác thực nguồn gốc (Origin authentication) : Người nhận có thể xác thực nguồn gốc của gói dữ liệu, đảm bảo và công nhận nguồn thông tin. 56
  3. 3.1.4 Các thành phần cần thiết tạo nên kết nối VPN - User authentication: cung cấp cơ chế chứng thực người dùng, cho phép người dùng hợp lệ kết nối vào hệ thống VPN - Address management : cung cấp địa chỉ IP hợp lệ cho người dùng sau khi gia nhập hệ thống VPN để có thể truy cập tài nguyên trên mạng nội bộ. - Data Encryption : cung cấp giải pháp mã hóa dữ liệu trong quá trình truyền nhằm đảm bảo tính riêng tư và toàn vẹn dữ liệu. - Key Management : cung cấp giải pháp quản lý các khóa dùng cho quá trình mã hóa và giải mã dữ liệu. Phụ thuộc vào kiểu VPN (truy nhập từ xa Remote Access hay kết nối ngang hàng Site-to-Site), một số thành phần nhất định cần thiết để hình thành VPN: - Phần mềm máy trạm cho mỗi người dùng xa. - Các thiết bị phần cứng riêng biệt, ví dụ như: Bộ trung tâm (VPN Concentrator) hoặc tường lửa (Secure PIX Firewall). - Các máy chủ VPN sử dụng cho dịch vụ quay số. - Máy chủ truy cập NAS (Network Access Server) dùng cho các người dùng VPN ở xa truy nhập. - Trung tâm quản lý mạng và chính sách VPN. 3.1.5 Phân loại VPN 3.1.5.1 VPN Remote Access Hình 3.2: VPN Remote Access 57
  4. VPN Remote Access: Hay cũng được gọi là Virtual Private Dial - up Network (VPDN), đây là dạng kết nối User – to – Lan áp dụng cho các công ty mà các nhân viên có nhu cầu kết nối tới mạng riêng (Private network) từ các địa điểm từ xa. Mỗi công ty có thể cài đặt một mạng kiểu Remote – Access diện rộng theo các tài nguyên từ một nhà cung cấp dịch vụ ESP (Enterprise Service Provider). ESP cài đặt một công nghệ Network Access Server (NAS) và cung cấp cho các user ở xa với phần mềm client trên mỗi máy của họ. Một đặc điểm quan trọng của VPN Remote Access là: cho phép người dùng di động truy cập từ xa vào hệ thống mạng nội bộ trong công ty để làm việc. Để thực hiện được VPN Remote Access cần : - Có 01 VPN Getway (có 01 IP Public). Đây là điểm tập trung xử lý khi VPN Client quay số truy cập vào hệ thống VPN nội bộ. - Các VPN Client kết nối vào mạng Internet. 3.1.5.2VPN Site-to-Site Hình 3.3: VPN Site - to – Site VPN Site - to – Site: Bằng việc sử dụng một thiết bị chuyên dụng và cơ chế bảo mật diện rộng, mỗi công ty có thể tạo kết nối với rất nhiều các site qua một mạng công cộng như Internet. Các mạng VPN Site – To – Site có thể thuộc hai dạng: 58
  5. - Intranet: Intranet VPN mở rộng các dịch vụ của mạng nội bộ tới các trụ sở ở xa, đây là một mô hình liên mạng hướng phi kết nối qua một mạng WAN dùng chung. Yêu cầu ở đây là phải thực hiện được tất cả các dịch vụ mạng đã được thực hiện ở mạng trung tâm. - Extranet: Liên kết các khách hàng, các nhà cung cấp, hay cộng đồng người sử dụng vào mạng Intranet của một tổ chức trên nền hạ tầng mạng công cộng sử dụng các đường truyền thuê bao. Giải pháp này cũng cung cấp các chính sách như trong mạng riêng của một tổ chức như đảm bảo tính bảo mật, tính ổn định. Về mặt kiến trúc thì Intranet và Extranet tương tự nhau, tuy nhiên điểm khác biệt giữa chúng là phạm vi các ứng dụng cho phép các đối tác Extranet VPN sử dụng. So với Intranet VPN thì vấn đề tiết kiệm chi phí không rõ bằng nhưng điều quan trọng là khả năng cộng tác với các đối tác, khách hàng hay các nhà cung cấp sản phẩm. Việc để cho khách hàng nhập trực tiếp dữ liệu về các hợp đồng vào hệ thống sẽ tiết kiệm được rất nhiều thời gian cũng như các lỗi không đáng có, tuy nhiên việc này rất khó thực hiện với công nghệ WAN truyền thống. Extranet VPN thường sử dụng các kết nối dành riêng và thêm vào các lớp bảo mật để xác thực và giới hạn truy nhập trên hệ thống. Để thực hiện được VPN Site-to-Site cần: - Có 02 VPN Getway ( Mỗi VPN Getway có 01 IP Public). Đây là điểm tập trung xử lý khi VPN Getway phía bên kia quay số truy cập vào. - Các Client kết nối vào hệ thống mạng nội bộ. 3.2. Một số giao thức mã hóa trong VPN Hiện nay có nhiều giải pháp để giải quyết hai vấn đề về đóng gói dữ liệu và an toàn dữ liệu trong VPN, dựa trên nền tảng là các giao thức đường hầm. Một giao thức đường hầm sẽ thực hiện đóng gói dữ liệu với phần Header (và có thể cả Trailer) tương ứng để truyền qua Internet. Giao thức đường hầm là cốt lõi của giải pháp VPN và hiện có 4 giao thức đường hầm được sử dụng trong VPN đó là : - Giao thức định hướng lớp 2 : L2F ( Layer 2 Forwarding) 59
  6. - Giao thức đường hầm điểm – điểm : PPTP (Point to point Tunneling protocol) - Giao thức đường hầm lớp 2 : L2TP (Layer 2 tunneling protocol) - Giao thức bảo mật IP : IPSec (Internet Protocol Security) - Giao thức GRE (Generic Routing Encapsulation) 3.2.1 Giao thức định hướng lớp 2 : L2F ( Layer 2 Forwarding) Giao thức định hướng lớp 2 L2F do Cisco phát triển độc lập và được phát triển dựa trên giao thức PPP ( Point to Point Protocol). L2F cung cấp giải pháp cho dịch vụ quay số ảo bằng cách thiết lập một đường hầm bảo mật thông qua cơ sở hạ tầng công cộng như Internet. L2F cho phép đóng gói các PPP trong L2F, định hướng hầm ở lớp liên kết dữ liệu. 3.2.1.1 Cấu trúc gói của L2F 1 bit 1 bit 1 bit 1 bit 8 bit 1 bit 3 bit 8 bit 8 bit F K P S Reserved C Version Protocol Sequence Multiplex ID Client ID Length Offset Key Data Checksums Hình 3.4: Khuôn dạng gói của L2F 3.2.1.2 Ưu nhược điểm của L2F - Ưu điểm : + Cho phép thiết lập đường hầm đa giao thức + Được cung cấp bởi nhiều nhà cung cấp - Nhược điểm: + Không có mã hóa + Yếu trong việc xác thực người dùng 60
  7. + Không có điều khiển luồng cho đường hầm 3.2.2 Thực hiện L2F L2F đóng gói những gói ở lớp 2 và trong trường hợp này là đóng gói PPP, truyền qua một mạng. L2F sử dụng các thiết bị: - NAS: Hướng lưu lượng đến và đi từ máy khách ở xa (Remote client) và Gateway home. - Tunnel: Định hướng đường đi giữa NAS và Home Gateway. - Home Gateway: Ngang hàng với NAS. - Kết nối: Là một kết nối PPP trong đường hầm. Trong CLI, một kết nối L2F được xem như là một phiên. - Điểm đích (Destination): Là điểm kết thúc ở đầu xa của đường hầm. Trong trường hợp này thì Home gateway là điểm đích. Hình 3.5: Mô hình L2F Hoạt động của L2F Hoạt động của L2F bao gồm các hoạt động: thiết lập kết nối, đường hầm và phiên làm việc. Ví dụ minh họa hoạt động của L2F: - Một người sử dụng ở xa quay số tới hệ thống NAS và khởi đầu một kết nối PPP tới ISP. 61
  8. - Hệ thống NAS và máy khách trao đổi các gói giao thức điều khiển liên kết LCP (Link Control Protocol). - NAS sử dụng cơ sở dữ liệu cục bộ liên quan đến vùng (Domain Name) hay nhận thực Radius để quyết định có hay không người sử dụng yêu cầu dịch vụ L2F. - Nếu có người sử dụng yêu cầu L2F thì quá trình tiếp tục: NAS thu nhận địa chỉ của Gateway đích. - Một đường hầm được thiết lập từ NAS tới Gateway đích nếu giữa chúng chưa có đường hầm nào. Sự thành lập đường hầm bao gồm giai đoạn nhận thực từ ISP tới Gateway đích để chống lại sự tấn công bởi những kẻ thứ ba. - Một kết nối PPP mới được tạo ra trong đường hầm, điều này có tác động kéo dài phiên PPP từ người sử dụng ở xa tới Home Gateway. Kết nối này được thiết lập như sau: Home Gateway tiếp nhận các lựa chọn và tất cả thông tin nhận thực PAP/CHAP, như đã thoả thuận bởi đầu cuối người sử dụng và NAS. Home Gateway chấp nhận kết nối hay nó thoả thuận lại LCP và nhận thực lại người sử dụng. - Khi NAS tiếp nhận lưu lượng dữ liệu từ người sử dụng, nó lấy gói và đóng gói lưu lượng vào trong một khung L2F và hướng nó vào trong đường hầm. - Tại Home Gateway, khung L2F được tách bỏ, và dữ liệu đóng gói được hướng tới mạng công ty. 3.2.2 Giao thức đường hầm điểm điểm - PPTP Giao thức đường hầm điểm – điểm PPTP được đưa ra đầu tiên bởi một nhóm các công ty được gọi là PPTP Forum. Nhóm này bao gồm 3 công ty: Ascend, Microsoft, ECI Telematicsunication và US Robotic. Ý tưởng cơ sở của giao thức này là tách các chức năng chung và riêng của truy cập từ xa, lợi dụng cơ sở hạ tầng Internet sẵn có để tạo kết nối bảo mật giữa người dùng ở xa và mạng riêng. Người dùng ở xa chỉ việc quay số tới nhà cung cấp dịch vụ Internet địa phương là có thể tạo đường hầm bảo mật tới mạng riêng của họ. Giao thức PPTP được xây dựng dựa trên chức năng của PPP, cung cấp khả năng quay số truy cập tạo ra một đường hầm bảo mật thông qua Internet đến site đích. PPTP sử dụng giao thức bọc gói định tuyến chung GRE (Generic Routing Encapsulation) được mô tả lại để đóng gói và tách gói PPP, giao thức này cho 62
  9. phép PPTP mềm dẻo xử lý các giao thức khác không phải IP như: IPX, TBEUI. Do PPTP dựa trên PPP nên nó cũng sử dụng PAP, CHAP để xác thực. PPTP có thể sử dụng PPP để mã hoá dữ liệu nhưng Microsoft đã đưa ra phương thức mã hoá khác mạnh hơn đó là mã hoá điểm – điểm MPPE (Microsoft Point – to – Point Encryption) để sử dụng cho PPTP. 3.2.2.1 PPP và PPTP PPP đã trở thành giao thức quay số truy cập vào Internet và các mạng TCP/IP rất phổ biến hiện nay. Làm việc ở lớp liên kết dữ liệu trong mô hình OSI, PPP bao gồm phương thức đóng, tách gói cho các loại gói dữ liệu khác nhau để truyền nối tiếp. Đặc biệt PPP định nghĩa hai bộ giao thức: giao thức điều khiển liên kết LCP (Link Control Protocol) cho việc thiết lập, cấu hình và kiểm tra kết nối. Giao thức điều khiển mạng NCP (Network Control Protocol) cho việc thiết lập và cấu hình các giao thức lớp mạng khác nhau. PPP có thể đóng các gói IP, IPX, NETBEUI và truyền đi trên kết nối điểm – điểm từ máy gửi đến máy nhận. Để việc truyền dữ liệu có thể diễn ra thì mỗi PPP phải gửi gói LCP để kiểm tra cấu hình và kiểm tra liên kết dữ liệu. Khi một kết nối PPP được thiết lập thì người dùng thường đã được xác thực. Đây là giai đoạn tùy chọn trong PPP, tuy nhiên, nó luôn luôn được cung cấp bởi các ISP. Việc xác thực được thực hiện bởi PAP hay CHAP. Với PAP mật khẩu dược gửi qua kết nối dưới dạng văn bản đơn giản và không có bảo mật để tránh khỏi bị tấn công thử và lỗi. CHAP là một phương thức xác thực mạnh hơn, CHAP sử dụng phương thức bắt tay 3 chiều. CHAP chống lại các vụ tấn công quay lại bằng cách sử dụng các giá trị thách đố (challenge value) duy nhất và không thể đoán trước được. CHAP phát ra giá trị thách đố trong suốt và sau khi thiết lập xong kết nối, lập lại các thách đố có thể giới hạn số lần bị đặt vào tình thế bị tấn công. PPTP sử dụng PPP để thực hiện các chức năng sau: - Thiết lập và kết thúc kết nối vật lý. - Xác thực người dùng. 63
  10. - Tạo các gói dữ liệu PPP. PPP thiết lập kết nối, PPTP sử dụng các quy luật đóng gói của PPP để đóng các gói truyền trong đường hầm. Để tận dụng ưu điểm của kết nối tạo ra bởi PPP, PPTP định nghĩa 2 loại gói: Gói điều khiển; Gói dữ liệu và gán chúng vào 2 kênh riêng là kênh điều khiển và kênh dữ liệu. Sau đó PPTP phân tách các kênh điều khiển và kênh dữ liệu thành luồng điều khiển với giao thức TCP và luồng dữ liệu với giao thức IP. Kết nối TCP được tạo giữa client PPTP và máy chủ PPTP được sử dụng để truyền thông báo điều khiển. Các gói dữ liệu là dữ liệu thường của người dùng. Các gói điều khiển được gửi theo chu kỳ để lấy thông tin về trạng thái kết nối và quản lý báo hiệu giữa client PPTP và máy chủ PPTP. Các gói điều khiển cũng được dùng để gửi các thông tin quản lý thiết bị, thông tin cấu hình giữa hai đầu đường hầm. Kênh điều khiển được yêu cầu cho việc thiết lập một đường hầm giữa client PPTP và máy chủ PPTP. Phần mềm client có thể nằm ở máy người dùng từ xa hay nằm tại máy chủ của ISP. Đường hầm được thiết lập thì dữ liệu người dùng được truyền giữa client và máy chủ PPTP. Các gói PPTP chứa các gói dữ liệu được đóng gói bởi tiêu đề GRE, sử dụng số ID của Host cho điều khiển truy cập, ACK cho giám sát tốc độ dữ liệu truyền trong đường hầm. PPTP cũng có cơ chế điều khiển tốc độ nhằm giới hạn số lượng dữ liệu truyền đi. Cơ chế này làm giảm tối thiểu dữ liệu phải truyền lại do mất gói. 3.2.2.2 Cấu trúc gói của PPTP - Đóng gói dữ liệu đường hầm PPTP Dữ liệu đường hầm PPTP được đóng gói thông qua nhiều mức: đóng gói khung PPP, đóng gói các GRE, đóng gói lớp liên kết dữ liệu. Cấu trúc gói dữ liệu đã được đóng gói Tiêu đề Tiêu Tiêu đề Tiêu Tải PPP được mã Phần đuôi liên liên kết đề IP GRE đề PPP hóa (IP, IPX, kết dữ liệu dữ liệu NETBEUI) 64
  11. Hình 3.6: Cấu trúc gói dữ liệu trong đường hầm PPTP + Đóng gói khung PPP: Phần trải PPP ban đầu được mật mã và đóng gói với phần tiêu đề PPP để tạo ra khung PPP. Sau đó, khung PPP được đóng gói với phần tiêu đề của phiên bản sửa đổi giao thức GRE. Đối với PPTP phần tiêu đề của GRE được sửa đổi một số điểm sau: + Một bit xác nhận được sử dụng để khẳng định sự có mặt của trường xác nhận 32 bit. + Trường Key được thay thế bằng trường độ dài Payload 16 bit và trường nhận dạng cuộc gọi 16 bit. Trường nhận dạng cuộc gọi Call ID được thiết lập bởi PPTP client trong quá trình khởi tạo đường hầm PPTP. + Một trường xác nhận dài 32 bit được đưa vào. GRE là giao thức cung cấp cơ chế chung cho phép đóng gói dữ liệu để gửi qua mạng IP. - Đóng gói các gói GRE Tiếp đó, phần tải PPP đã được mã hóa và phần tiêu đề GRE được đóng gói với một tiêu đề IP chứa thông tin địa chỉ nguồn và đích cho PPTP client và PPTP server. - Đóng gói lớp liên kết dữ liệu Do đường hầm của PPTP hoạt động ở lớp 2 – lớp liên kết dữ liệu trong mô hình OSI nên lược đồ dữ liệu IP sẽ được đóng gói với phần tiêu đề (Header) và phần kết thúc (Trailer) của lớp liên kết dữ liệu. Ví dụ: Nếu IP datagram được gửi qua giao diện Ethernet thì sẽ được đóng gói với phần Header và Trailer Ethernet. Nếu IP datagram được gửi thông qua đường truyền WAN điểm tới điểm thì sẽ được đóng gói với phần Header và Trailer của giao thức PPP. - Xử lý dữ liệu đường hầm PPTP 65
  12. Khi nhận được dữ liệu đường hầm PPTP, PPTP client hay PPTP server sẽ thực hiện các bước xử lý: + Xử lý và loại bỏ phần Header và Trailer của lớp liên kết dữ liệu. + Xử lý và loại bỏ IP Header. + Xử lý và loại bỏ GRE Header và PPP Header. + Giải mã hoặc giải nén phần PPP Payload nếu cần. + Xử ls phần Payload để nhận hoặc chuyển tiếp. IP IPX NetBEUI NDISWAN PPTP L2PT Async X.25 ISD N Hình 3.7 : Sơ đồ đóng gói PPTP 66
  13. 3.2.2.3 Đường hầm PPTP cho phép người dùng và ISP có thể tạo ra nhiều loại đường hầm khác nhau. Người dùng có thể chỉ định điểm kết thúc của đường hầm ngay tại máy tính của mình nếu có cái PPTP, hay tại máy chủ của ISP (máy tính của ISP phải hỗ trợ PPTP). Có 2 lớp đường hầm: Đường hầm tự nguyện và đường hầm bắt buộc. Đường hầm tự nguyện được tạo ra theo yêu cầu của người dùng. Khi sử dụng đường hầm tự nguyện, người dùng có thể đồng thời mở một đường hầm bảo mật thông qua Internet và có thể truy cập đến một Host trên Internet bởi giao thức TCP/IP bình thường. Đường hầm tự nguyện thường dùng để cung cấp tính riêng tư và toàn vẹn dữ liệu cho lưu lượng Intranet được gửi qua Internet. Đường hầm bắt buộc được tạo ra không thông qua người dùng nên nó trong suốt đối với người dùng. Điểm kết thúc của đường hầm bắt buộc nằm ở máy chủ truy cập từ xa. Tất cả dữ liệu truyền đi từ người dùng qua đường hầm PPTP đều phải thông qua RAS. Do đường hầm bắt buộc định trước điểm kết thúc và người dùng không thể truy cập phần còn lại của Internet nên nó điều khiển truy cập tốt hơn so với đường hầm tự nguyện. Nếu vì tính bảo mật mà không cho người dùng truy cập Internet công cộng thì đường hầm bắt buộc ngăn không cho họ truy cập Internet công cộng nhưng vẫn cho phép họ truyền thông qua Internet để truy cập VPN. Một ưu điểm nữa của đường hầm bắt buộc là một đường hầm có nhiều điểm kết nối. Đặc tính này làm giảm yêu cầu băng thông cho các ứng dụng đa phiên làm việc. Một khuyết điểm của đường hầm bắt buộc là kết nối từ RAS đến người dùng nằm ngoài đường hầm nên dễ bị tấn công. 67
  14. Hình 3.8: Đường hầm bắt buộc và đường hầm tự nguyện Sử dụng Radius để cung cấp đường hầm bắt buộc và có một vài ưu điểm đó là: Các đường hầm có thể được định nghĩa và kiểm tra dựa trên xác thực người dùng và tính cước dựa vào số điện thoại, các phương thức xác thực khác như thẻ bài (Token) hay thẻ thông minh (Smart Card). 3.2.3 Giao thức đường hầm lớp 2 – L2TP Giao thức đường hầm lớp 2 L2TP là sự kết hợp giữa hai giao thức PPTP và L2F – chuyển tiếp lớp 2. PPTP do Microsoft đưa ra còn L2F do Cisco khởi xướng. Hai công ty này đã hợp tác cùng kết hợp 2 giao thức lại và đăng ký chuẩn hoá tại IETF. Giống như PPTP, L2TP là giao thức đường hầm, nó sử dụng tiêu đề đóng gói riêng cho việc truyền các gói ở lớp 2. Một điểm khác biệt chính giữa L2F và PPTP là L2F không phụ thuộc vào IP và GRE, cho phép nó có thể làm việc ở môi trường vật lý khác. Bởi vì GRE không sử dụng như giao thức đóng gói, nên L2F định nghĩa riêng cách thức các gói được điều khiển trong môi trường khác. Nhưng nó cũng hỗ trợ TACACS+ và RADIUS cho việc xác thực. Có hai mức xác thực người dùng: Đầu tiên ở ISP trước khi thiết lập đường hầm, sau đó là ở cổng nối của mạng riêng sau khi kết nối được thiết lập. L2TP mang đặc tính của PPTP và L2F. Tuy nhiên, L2TP định nghĩa riêng một giao thức đường hầm dựa trên hoạt động của L2F. Nó cho phép L2TP truyền thông qua nhiều môi trường gói khác nhau như X.25, Frame Relay, ATM. Mặc dù nhiều công cụ chủ yếu của L2TP tập trung cho UDP của mạng IP, nhưng có thể thiết lập một hệ thống L2TP mà không cần phải sử dụng IP làm giao thức đường hầm. Một mạng ATM hay Frame Relay có thể áp dụng cho đường hầm L2TP. 68
  15. Do L2TP là giao thức ở lớp 2 nên nó cho phép người dùng sử dụng các giao thức điều khiển một cách mềm dẻo không chỉ là IP mà có thể là IPX hoặc NETBEUI. Cũng giống như PPTP, L2TP cũng có cơ chế xác thực PAP, CHAP hay RADIUS. 3.2.2.1 Dạng thức của L2TP Các thành phần chức năng của L2TP bao gồm: giao thức điểm – điểm, đường hầm, hệ thống xác thực và mã hoá. L2TP có thể sử dụng quản lý khoá để tăng thêm độ bảo mật. Kiến trúc của L2TP như hình vẽ: Hình 3.9 : Kiến trúc của L2TP 3.2.3.2 Cấu trúc gói dữ liệu L2TP - Đóng gói dữ liệu đường hầm L2TP Đường hầm dữ liệu L2TP được thực hiện thông qua nhiều mức đóng gói. Cấu trúc cuối cùng của dữ liệu đường hầm L2TP trên nền IPSec được thể hiện qua hình vẽ dưới đây: Tiêu Tiêu Tiêu Tiêu Tiêu Tiêu Tiêu đề Phần Phần Phần đề đề đề ESP đề đề đề PPP(IP, đuôi đuôi đuôi liên IP IPSec UDP L2TP PPP IPX,Net ESP nhận liên kết BEUI) IPSec thực kết dữ ESP dữ liệu IPSec liệu Được mã hóa Được xác thực Hình 3.10 : Cấu trúc gói dữ liệu trong đường hầm L2TP 69
  16. Do đường hầm L2TP hoạt động ở lớp 2 của mô hình OSI – lớp liên kết dữ liệu nên các IP datagram cuối cùng sẽ được đóng gói với phần header và trailer tương ứng với kỹ thuật ở lớp đường truyền dữ liệu của giao diện vật lý đầu ra. Ví dụ, khi các IP datagram được gửi vào một giao diện Ethernet thì Ipdatagram này sẽ được đóng gói với Ethernet header và Ethernet Trailer. Khi các IP datagram được gửi trên đường truyền WAN điểm – điểm (chẳng hạn đường dây điện thoại hay ISDN) thì IPdatagram được đóng gói với PPP header và PPP trailer. - Xử lý dữ liệu đường hầm L2TP trên nền IPSec Khi nhận được dữ liệu đường hầm L2TP trên nền IPSec, L2TP client hay L2TP server sẽ thực hiện các bước sau: + Xử lý và loại bỏ header và trailer của lớp đường truyền dữ liệu. + Xử lý và loại bỏ IP header. + Dùng IPSec ESP Authentication để xác thực IP payload và IPSec ESP header. + Dùng IPSec ESP header để giải mã phần gói đã mật mã. + Xử lý UDP header và gửi gói L2TP tới lớp L2TP. + L2TP xử lý Tunnel ID và Call ID trong L2TP header để xác định đường hầm L2TP cụ thể. + Dùng PPP header để xác định PPP payload và chuyển tiếp nó tới dúng giao thức để xử lý. - Sơ đồ đóng gói L2TP trên nền IPSec Sơ đồ đóng gói L2TP qua kiến trúc mạng từ một VPN client thông qua kết nối VPN truy cập từ xa sử dụng một modem tương tự như hình dưới đây: IPSE IP IPX NetBEUI C NDIS 70 NDISWAN
  17. Tiêu Tiêu Tiêu Tiêu Tiêu Tiêu Phần Phần Phần Tiêu đề đề ESP đề đề đề đề đuôi đuôi đuôi đề liên IP IPSec UDP L2TP PPP PPP(IP ESP nhận liên kết dữ , IPSec thực kết liệu IPX,N ESP dữ etBEU IPSec liệu I) Được mã hóa Hình 3.11: Sơ đồ đóng gói L2TP 3.2.3.3Đường hầm L2TP L2TP sử dụng những lớp đường hầm tương tự như PPTP, tuỳ theo người sử dụng là client PPP hay client L2TP mà sử dụng đường hầm là tự nguyện hay bắt buộc. Đường hầm tự nguyện được tạo ra theo yêu cầu của người dùng cho mục đích cụ thể. Khi sử dụng đường hầm tự nguyện thì người dùng có thể đồng thời mở đường hầm bảo mật thông qua Internet, vừa có thể truy cập vào một host bất kỳ trên Internet theo giao thức TCP/IP bình thường. Điểm kết thúc của đường hầm tự nguyện nằm ở máy tính người dùng. Đường hầm tự nguyện thường được sử dụng để cung cấp tính riêng tư và toàn vẹn dữ liệu cho lưu lượng Intranet gửi thông qua Internet. 71
  18. Hình 3.12 : Đường hầm tự nguyện và bắt buộc của L2TP Đường hầm bắt buộc được tạo tự động không cần bất kỳ hành động nào từ phía nguời dùng và không cho phép người dùng chọn lựa. Do đường hầm bắt buộc được tạo ra không thông qua người dùng nên nó trong suốt đối với người dùng đầu cuối. Đường hầm bắt buộc định trước điểm kết thúc, nằm ở LAC của ISP và nên kiểu đường hầm này điều khiển truy cập tốt hơn so với đường hầm tự nguyện. Nếu như vì tính bảo mật mà không cho người dùng truy cập vào Internet công cộng nhưng vẫn cho phép sử dụng Internet để truy nhập VPN. Một ưu điểm của đường hầm bắt buộc là một đường hầm có thể tải nhiều kết nối, điều này làm giảm băng thông mạng cho các ứng dụng đa phiên làm việc. Một khuyết điểm của đường hầm bắt buộc là kết nối từ LAC đến người sử dụng nằm ngoài đường hầm nên đẽ bị tấn công. Mặc dù ISP có thể chọn cách thiết lập tĩnh để định nghĩa đường hầm cho người dùng, nhưng điều này gây lãng phí tài nguyên mạng. Có cách khác cho phép sử dụng tài nguyên hiệu quả hơn bằng cách thiết lập đường hầm động. Những đường hầm động này được thiết lập trong L2TP bằng cách kết nối với máy chủ RADIUS. Để RADIUS có thể điều khiển việc thiết lập một đường hầm thì nó cần phải lưu các thuộc tính của đường hầm. Các thuộc tính này bao gồm: giao thức đường hầm được sử dụng (PPTP hay L2TP), địa chỉ của máy chủ và môi trường truyền dẫn trong đường hầm được sử dụng. Sử dụng máy chủ RADIUS để thiết lập đường hầm bắt buộc có một số ưu điểm như: 72
  19. - Các đường hầm có thể được định nghĩa và kiểm tra dựa trên xác thực người dùng. - Tính cước thể dựa trên số điện thoại hoặc các phương thức xác thực khác. Khả năng áp dụng trong thực tế của L2TP Việc lựa chọn một nhà cung cấp dịch vụ L2TP có thể thay đổi tuỳ theo yêu cầu thiết kế mạng. Nếu thiết kế một VPN đòi hỏi mã hoá đầu cuối – đầu cuối thì cần cài các client tương thích L2TP tại các host từ xa và thoả thuận với ISP là sẽ xử lý mã hoá từ máy đầu xa đến tận máy chủ của mạng VPN. Nếu xây dựng một mạng với mức độ bảo mật thấp hơn, khả năng chịu đựng lỗi cao hơn và chỉ muốn bảo mật dữ liệu khi nó đi trong đường hầm trên Inernet thì thoả thuận với ISP để họ hỗ trợ LAC và mã hoá dữ liệu chỉ từ đoạn LAC đến LNS của mạng riêng. L2TP là một thế hệ giao thức quay số truy cập mới của VPN. Nó phối hợp những đặc tính tốt nhất của PPTP và L2F. Hầu hết các nhà cung cấp sản phẩm PPTP đều đưa ra các sản phẩm tương thích L2TP hoặc sẽ giới thiệu sau này. Mặc dù L2TP chủ yếu chạy trên mạng IP, nhưng khả năng chạy trên các mạng khác như Frame Relay, ATM đã làm nó trở nên phổ biến. L2TP cho phép một lượng lớn client từ xa được kết nối vào VPN hay cho các kết nối LAN – LAN có dung lượng lớn. L2TP có cơ chế điều khiển luồng để làm giảm tắc nghẽn trên đường hầm L2TP. L2TP cho phép thiết lập nhiều đường hầm với cùng LAC và LNS. Mỗi đường hầm có thể gán cho một người dùng xác định hoặc một nhóm các người dùng và gán cho các môi trường khác nhau. 3.2.4 Giao thức IP Sec Các giao thức nguyên thuỷ TCP/IP không bao gồm các đặc tính bảo mật vốn có. Trong giai đoạn đầu của Internet khi mà người dùng thuộc các trường đại học và các viện nghiên cứu thì vấn đề bảo mật dữ liệu không phải là vấn đề quan trọng như bây giờ khi mà Internet trở nên phổ biến, các ứng dụng thương mại có mặt khắp nơi trên Internet và đối tượng sử dụng Internet rộng hơn bao gồm cả các Hacker. Để thiết lập tính bảo mật trong IP ở cấp độ gói, IETF đã đưa ra họ giao thức IPSec. Họ giao thức IPSec đầu tiên đươc dùng cho xác thực, mã hoá các gói dữ liệu IP, 73
  20. được chuẩn hoá thành các RFC từ 1825 đến 1829 vào năm 1995. Họ giao thức này mô tả kiến trúc cơ bản của IPSec bao gồm hai loại tiêu đề được sử dụng trong gói IP, gói IP là đơn vị dữ kiệu cơ sở trong mạng IP. IPSec định nghĩa 2 loại tiêu đề cho các gói IP để điều khiển quá trình xác thực và mã hoá: một là xác thực tiêu đề IP – AH (IP Authentication Header) điều khiển việc xác thực và thực hiện đóng gói tải tin an toàn ESP (Encapsulation Security Payload) cho mục đích mã hoá. IPSec không phải là một giao thức. Nó là một khung của các tập giao thức chuẩn mở cho phép những nhà quản trị mạng lựa chọn thuật toán, các khoá và phương pháp nhận thực để cung cấp sự xác thực dữ liệu, tính toàn vẹn dữ liệu, và sự tin cậy dữ liệu. IPSec là sự lựa chọn cho bảo mật tổng thể các VPN, là phương án tối ưu cho mạng của công ty. Nó đảm bảo truyền thông tin tin cậy trên mạng IP công cộng đối với các ứng dụng. IPSec tạo những đường hầm bảo mật xuyên qua mạng Internet để truyền những luồng dữ liệu. Mỗi đường hầm bảo mật là một cặp những kết hợp an ninh để bảo vệ luồng dữ liệu giữa hai Host. IPSec được phát triển nhắm vào họ giao thức IP kế tiếp là IPV6, nhưng do việc triển khai IPV6 còn chậm và sự cần thiết phải bảo mật các gói IP nên IPSec đã được thay đổi cho phù hợp với IPV4. Việc hỗ trợ cho IPSec chỉ là tuỳ chọn của IPV4 nhưng đối với IPV6 thì có sẵn IPSec. 3.2.4.1Khung giao thức IPSec IPSec là khung của các chuẩn mở, được phát triển bởi IETF. 74
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD

THÔNG TIN
TRỢ GIÚP
HỖ TRỢ KHÁCH HÀNG
Theo dõi chúng tôi

Chịu trách nhiệm nội dung:

Nguyễn Công Hà - Giám đốc Công ty TNHH TÀI LIỆU TRỰC TUYẾN VI NA

LIÊN HỆ

Địa chỉ: P402, 54A Nơ Trang Long, Phường 14, Q.Bình Thạnh, TP.HCM

Hotline: 093 303 0098

Email: support@tailieu.vn

Giấy phép Mạng Xã Hội số: 670/GP-BTTTT cấp ngày 30/11/2015 Copyright © 2022-2032 TaiLieu.VN. All rights reserved.

 

Đồng bộ tài khoản
80=>2